为什么使管理员帐户更安全十分重要
使管理员帐户尽可能安全是对组织的网络资产提供全面保护不可或缺的。 您需要保护管理员可能使用的每台计算机,包括域控制器、服务器以及他们使用的任何工作站。 组织的 IT 组应该尽可能安全地维护域控制器和证书颁发机构服务器,因为这些均被视为非常值得信赖的资产。 您还必须将管理员的台式和移动计算机作为受信任资产进行保护,因为管理员使用它们来远程管理林、域和基础结构。
频繁连接到域控制器的成员服务器需要高特权才能连接并提供服务。 由于这通常要求服务器保留提升凭据(通常是域级管理权限),任何一台服务器遭到破坏可以立即导致整个域受到破坏。 例如,攻击者可能控制单台成员服务器并将该服务器作为着眼点对整个域发起攻击。
当跨林或域使用安全环境信任时,使域管理员帐户尽可能安全尤为重要。 组织必须能够假设他们可以在所有信任域中使用域帐户,以及跨所有域对管理员帐户应用同样高的保护标准。 例如,假定有一个根域 Test.com 以及两个子域 TestA.com 和 TestB.com。如果 TestB.com 的管理员被显式地授予了 TestA.com 的管理特权或者是整个目录林范围内 Enterprise Admins 组的成员,那么它无法保护 TestA.com 上的管理员帐户。原因在于,如果 TestB.com 中的管理员帐户不安全,TestB.com 不安全域中的入侵者可能获取安全 TestA.com 域的管理访问权限。
为什么不应该以管理员身份登录计算机
如果您定期以管理员身份登录计算机从而执行基于常用应用程序的任务,则您的计算机容易遭受恶意软件攻击以及其他安全威胁,因为恶意软件将使用您登录时使用的相同特权运行。 如果访问 Internet 站点或打开电子邮件附件,则可以损坏计算机,因为可能在您的计算机上部署将下载并执行的恶意代码。
如果您以本地计算机的管理员身份登录,恶意代码可以重新格式化您的硬盘驱动器、删除您的文件并新建拥有管理特权的用户帐户等等。 如果您作为 Active Directory? 目录服务中的 Domain Admins 组、Enterprise Admins 组或 Schema Admins 组的成员登录,恶意代码可以新建有管理访问权限或使架构、配置或域数据濒临风险的域用户帐户。
在本地计算机上,您应该仅将您的域用户帐户添加到 Users 组(而不是 Administrators 组),从而执行常规任务(如运行程序或访问 Internet 站点。 当需要在本地计算机上或者 Active Directory 中执行管理任务时,使用“运行方式”命令启动具有管理凭据的程序。
“运行方式”命令允许您完成管理任务的同时计算机或 Active Directory 数据遭受较小风险。 有关如何使用 Run as 命令的详细信息,请参阅本指南第 3 章“使管理员帐户更安全的指导原则”中的“使用 Secondary Logon 服务”一节。
注意: 有关在 Microsoft? Windows? 2000、Windows XP 和 Windows Server? 2003 中使用“运行方式”的详细信息,请参阅知识库文章 294676、305780、325859 和 325362。您可以通过搜索支持知识库 (KB) 网站的编号找到这些文章,网址为 http://support.microsoft.com/default.aspx?scid=fh;en-us;KBHOWTO
管理帐户和组概述
许多管理用户帐户和组的凭据可以用于登录计算机或域。 Active Directory 域中的管理帐户包括:
Administrator 帐户,它是在域的第一个域控制器上安装 Active Directory 时创建的。 这是该域中权限最高的帐户。 在计算机上安装 Active Directory 的人在安装过程中将为该帐户创建密码。 如果该域是林中创建的第一个域,它会自动成为林根域,因此包含 Enterprise Admins 组。 默认情况下,此林根域的 Administrator 帐户是 Enterprise Admins 组的成员,同样拥有整个林的管理特权。 默认情况下,每个域中创建的第一个管理员帐户也是每个域中加密文件系统 (EFS) 的数据恢复代理 (DRA)。
后来创建的、并直接分配了管理特权或放置到具有管理特权的组的帐户。
使用 EFS 数据恢复代理证书、注册代理证书或密钥恢复代理证书的帐户。 使用这些代理证书的帐户是非常强大的帐户,也应该受到保护。 例如,某人拥有注册代理证书之后,他们可以代表组织中的任何人注册证书并生成智能卡。 然后,生成的智能卡可以用于登录到网络并模拟真正的用户。 由于这些代理证书帐户功能强大,建议组织对拥有这些证书的人员实施坚固的安全策略。
Active Directory 域中管理组的数目会有所不同,这具体取决于安装的服务。 特定用于 Active Directory 的管理的组包括:
已经存在于“Builtin”容器中的管理组;例如,Account Operators 和 Server Operators。 注意,“Builtin”容器中的组不能被移到其他位置。
已经存在于“Users”容器中的管理组;例如,Domain Admins 和 Group Policy Creator Owners。
后来创建的、并放置到具有管理特权的组中或直接分配了管理特权的组。
域环境中的默认管理组和帐户是:
Enterprise Admins(仅存在于林根域中)
Domain Admins(存在于所有域中)
Schema Admins(仅存在于林根域中)
Group Policy Creator Owners(仅存在于林根域中)
管理员组
管理员组帐户
DS Restore Mode Administrator(仅在“目录服务还原模式”时可用。 此帐户对域控制器来说是本地的,不是域级帐户。 当在计算机上安装 Active Directory 时设置此帐户的密码。)
有关每个管理帐户和组的完整描述,请参阅 Windows Server 2003 帮助和支持中心中的“默认组:Active Directory”和“用户和计算机帐户”主题。
管理员帐户类型
本质上说,存在三类登录到计算机或域的管理员帐户。 每一类别均有独特的能力和特权。
本地管理员帐户。 此类包括首次在计算机上安装 Windows Server 2003 时所创建的内置 Administrator 帐户。 此类还包括任何其他后续创建和添加到内置本地 Administrators 组的用户帐户。 此组的成员对本地计算机拥有完全的、无限制的访问权限。
域管理员帐户。 此类包括首次安装 Active Directory 时 Active Directory 所创建和使用的内置域 Administrator 帐户。 此类还包括任何其他后续创建和添加到内置本地 Administrators 组或 Domain Admins 组的用户帐户。 这些组的成员对域有完全的、无限制的访问权限,如果未受到正确保护,则对整个林有完全的、无限制的访问权限。
林管理员帐户。 此类包括在林中创建的第一个域(称为林根域)中的内置域 Administrator 帐户,因为安装 Active Directory 时,林根域中的 Administrator 帐户会自动添加到 Enterprise Admins 组。 此类还包括任何其他后续创建和添加到 Enterprise Admins 组的用户帐户。 Enterprise Admins 组的成员对整个林拥有完全的、无限制的访问权限。 Enterprise Admins 还可以安装“证书颁发机构”,然后可以用于模拟林中的任何用户。
使管理员帐户更安全的原则
当规划如何使管理帐户更安全时,您应该:
采用最小特权这一原则
遵循使管理员帐户更安全的最佳做法指导原则
最小特权原则
大多数与安全相关的培训课程和文档讨论最小特权原则的实施,然而组织却很少遵循。 该原则非常简单,正确地运用它会大大增加安全性和降低风险。 该原则规定,所有用户应该使用仅具有完成当前任务所需的绝对最小权限的用户帐户登录。 这样做可以对抗其他攻击中的恶意代码。 此原则适用于计算机和那些计算机的用户。
此原则如此有效的一个原因是它强制您执行某些内部调查。 例如,您必须确定计算机或用户真正需要的访问特权,然后实施这些特权。 对于许多组织来说,此任务最初看似要做大量工作;但是,它是成功保护网络环境安全的基本步骤。
您应该借鉴最小特权的概念向所有域管理员用户授予域特权。 例如,如果某管理员使用特权帐户登录并无意间执行了病毒程序,那么该病毒对本地计算机和整个域有管理访问权限。 相反,如果管理员使用非特权(非管理)帐户登录,由于病毒是以本地计算机用户运行的,它的破坏范围仅仅是本地计算机。
再举另一个例子,您授予其域级管理员权限的帐户不能拥有其他林的提升权限,即使林之间存在信任关系。 如果攻击者设法破坏某个受管理的林,这一策略帮助防止大范围破坏。 组织应该定期审核其网络,从而防止未经授权的特权提升。
使管理帐户更安全的最佳做法
为更安全地使用 Windows Server 2003 中的管理帐户而应遵循的最佳做法指导原则包括:
区分域管理员和企业管理员角色。
区分用户帐户和管理员帐户。
使用 Secondary Logon 服务。
运行单独的“Terminal Services”会话进行管理。
重命名默认管理员帐户。
创建虚假管理员帐户。
创建次要管理员帐户并禁用内置管理员帐户。
为远程管理员登录启用帐户锁定。
创建强管理员密码。
自动扫描弱密码。
仅在受信任计算机上使用管理凭据。
定期审核帐户和密码。
禁止帐户委派。
控制管理登录过程。
有关这些最佳做法指导原则的详细信息,请参阅下文。